Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Кадровая служба
  3. Правовое обеспечение деятельности

Должен ли в компании быть специалист по информационной безопасности?

0
Журнал «Кадровая служба и управление персоналом предприятия» № 3 / 2024
Елена Кожемякина
управляющий партнер юридической компании BLS
Закон о персональных данных требует от работодателей назначить ответственного за организацию обработки персданных. Это может быть сам генеральный директор, а также HR или другое уполномоченное лицо. Но многие не в курсе, что часто одним ответственным не обойтись. Все дело в постановлении Правительства РФ от 01.11.2012 № 1119, которым утверждены требования к защите персональных данных при их обработке в информационных системах персональных данных. Согласно документу обеспечивать такую защиту в определенных случаях должен либо специально уполномоченный работник, либо отдельное структурное подразделение. Автор объясняет, когда в организации такой ответственный сотрудник может быть один, а в какой ситуации понадобится целый отдел; каким критериям он должен соответствовать; можно ли привлечь специалиста(ов) по аутсорсингу; какая ответственность грозит, если вовсе не назначить ответственное лицо. Приводит наглядную таблицу с описанием условий установления уровней защищенности персональных данных при их обработке в информационной системе, которую удобно использовать на практике, чтобы сориентироваться в своих обязанностях в данной сфере. Дает алгоритмы действий работодателя в зависимости от конкретных ситуаций и образец приказа об утверждении перечня работников, имеющих доступ к персональным данным в информационной системе, а также рекомендации, как обеспечить самый простой на сегодняшний день способ защиты. Это необходимый минимум, который должен быть у всех!

Напомним, согласно п. 1 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1 все организации, обрабатывающие персданные, должны назначить ответственное за организацию обработки таких сведений лицо. Оно, в свою очередь, обязано 2:

  • осуществлять внутренний контроль за соблюдением работодателем (оператором) и его сотрудниками законодательства РФ о персональных данных, в том числе требований к защите персданных;
  • доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам их обработки, требований к их защите;
  • организовывать (и/или контролировать) прием и обработку обращений и запросов субъектов персданных или их представителей.

При этом правила, касающиеся угроз для персональных данных при их обработке в инфосистемах, установлены отдельно (см. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства РФ от 01.11.2012 № 1119 3). Проще говоря, речь идет об электронных базах и программах, в которых компании хранят и обрабатывают данные. А поскольку так работают практически любые организации, то и требования касаются по сути всех работодателей.

В рассматриваемом документе прописана обязанность назначить ответственного за обеспечение безопасности персональных данных в информационной системе – ​специалиста по информационной безопасности. Причем такая обязанность зависит от того, какой уровень угрозы может исходить от программ и баз данных. Чтобы его определить, придется внимательно изучить указанные выше Требования.

Так, выделяются три типа угроз для информационной системы:

  • 1-й тип, когда к неправомерному использованию данных могут привести возможности предустановленного программного обеспечения, т.е. операционных систем в компьютерах;
  • 2-й тип угрозы появляется из-за скрытых возможностей программ, которые устанавливают на компьютеры дополнительно, скажем, для автоматизации кадрового учета;
  • в 3-м типе угрозы от программного обеспечения отсутствуют.

...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Рекомендовано для вас

Правила уничтожения персональных данных

Кадровая служба
№ 04 / 2024
Практические рекомендации

В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Марина Дячук
частнопрактикующий юрист

Полиграф в кадровой работе

Кадровая служба
Технологии эффективности

Из статьи узнаете: что представляет собой исследование на полиграфе; как регламентируется его использование в российском законодательстве; в чем может быть польза от его применения работодателем, какие риски следует принимать во внимание; как сейчас складывается практика использования полиграфа в трудовых и связанных с ними отношениях. В вашем распоряжении – ​образцы формулировок в локальные нормативные акты и трудовые договоры, согласий на прохождение работниками и соискателями психофизиологического исследования с применением полиграфа и на обработку общих и специальных категорий персональных данных.

Сергей Россол
корпоративный консультант МКА «Калинин, Трач и партнеры»

Документы по персональным данным, которые проверит Роскомнадзор

Кадровая служба
№ 04 / 2024
Практические рекомендации

Любым организациям и ИП так или иначе приходится обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Юлия Жижерина
юрист по трудовому праву
Татьяна Снежкина
юрист по трудовому праву

Отвечаем на запросы о предоставлении персональных данных

Кадровая служба
№ 02 / 2024
Практические рекомендации

В организацию время от времени приходят запросы от сторонних лиц. Это могут быть как государственные (муниципальные) органы и организации, так и коммерческие компании. В каком случае у работодателя есть обязанность ответить на запрос о представлении персональных данных, а когда он должен (или может) отказать? Какие сроки установлены для ответа на запросы суда, прокуратуры, ОВД, судебных приставов и пр.? Показываем, как организовать процесс ответов на внешние запросы (с образцами оформления ответов на различные запросы, в т.ч. об отказе предоставить сведения, а также примерами исчисления сроков исполнения запросов).

Оксана Аскарова
заместитель начальника управления делами и организационной работы – начальник общего отдела Отделения Фонда пенсионного и социального страхования Российской Федерации по Тверской области

Какие данные являются персональными: позиция суда

Кадровая служба
№ 05 / 2021
Правовое обеспечение деятельности

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Александр Бычков
директор юридического департамента ООО «Пимпэй Касса»

Правила уничтожения персональных данных

Кадровая служба
№ 04 / 2024
Практические рекомендации

В каких ситуациях и в какие сроки необходимо уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Марина Дячук
частнопрактикующий юрист

Можно ли обязать держать зарплату в тайне?

Кадровая служба
№ 08 / 2020
Правовое обеспечение деятельности

Имеет ли право работодатель обязать сотрудника не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Елена Грозовская
адвокат Адвокатской палаты Саратовской области

Чем запомнился 2023 год и что ждать работодателям от 2024 года?

Кадровая служба
№ 01 / 2024
Актуальное интервью

Прошлый год, как и предыдущие два, оказался непростым для работодателей. Изменений в трудовом законодательстве немало и многие непосредственно влияют на работу кадровиков. Приходится разбираться в воинском учете, а также законодательстве о защите персональных данных. Журнал «Кадровая служба и управление персоналом предприятия» попросил экспертов выделить наиболее резонансные изменения 2023 года и рассказать, чего они ждут от 2024 года. Будете в курсе прогнозов: по какому пути, скорее всего, пойдет трудовое законодательство и каких тенденций в судебной практике работодателям и кадровым службам стоит опасаться уже сейчас.